- Introducción a la Guía del usuario de administración
- Funciones de sitios
- Administración de sitios web
- Trabajos asincrónicos
- Reutilización del contenido: administrador de varios sitios y Live Copy
- Información general de Live Copy
- Configuración de la sincronización de Live Copy
- Creación y sincronización de Live Copies
- Conflictos de despliegue de MSM
- Solución de problemas y preguntas más frecuentes sobre MSM
- Prácticas recomendadas de MSM
- Traducción de contenido para sitios multilingües
- Administración de proyectos de traducción
- Identificación del contenido a traducir
- Preparación del contenido para su traducción
- Creación de una raíz de idioma mediante la IU clásica
- Volver a conectar con Microsoft Translator
- Configuración del marco de trabajo de integración de traducción
- Asistente para copia de idioma
- Mejoras de traducción
- Prácticas recomendadas de traducción
- Configuraciones y el explorador de configuración
- AEM Preguntas más frecuentess
- Operaciones
- Tableros
- Tablero de operaciones
- Copia de seguridad y restauración
- Recolección de papelera del almacén de datos
- Supervisión de recursos del servidor mediante la consola JMX
- Uso de registros
- AEM Mantenimiento del registro de auditoría en el 6
- Configuración del editor de texto enriquecido
- Configuración de RTE para producir sitios accesibles
- Configurar Deshacer para editar páginas
- Configuración de los complementos del Editor de texto enriquecido
- Configuración del componente de vídeo
- Editor por lotes
- Configuración de notificaciones por correo electrónico
- El Verificador De Vínculos
- AEM Solución de problemas
- Administración del acceso a los flujos de trabajo
- Inicio de flujos de trabajo
- Administración de flujos de trabajo
- Administración de instancias de flujo de trabajo
- AEM Uso de cURL con
- Herramienta Servidor Proxy (proxy.jar)
- AEM Configuración de para aplicaciones de
- Configurar formularios de búsqueda
- Consolas de herramientas
- Informes
- Configuración del contenedor y el modo de diseño
- Editor
- Habilitar el acceso a la IU clásica
- Admin Console
- Seguridad
- Administración de usuarios y seguridad
- Administración de derechos de usuario, grupo y acceso
- Lista de comprobación de seguridad
- Principales 10 de OWASP
- AEM Ejecución en modo listo para la producción
- Administración de identidades
- Autenticación IMS de Adobe y compatibilidad con el Admin Console AEM para el uso de Managed Services
- Creación de un grupo de usuarios cerrado
- AEM Mitigación de problemas de serialización en la
- Sincronización de usuarios
- Compatibilidad con tokens encapsulados
- Inicio de sesión único
- AEM Cómo auditar las operaciones de administración de usuarios en el
- SSL predeterminado
- Controlador de autenticación SAML 2.0
- AEM Grupos de usuarios cerrados en el
- Operaciones de Granite: administración de usuarios y grupos
- Activación del CRXDE Lite AEM en la
- AEM Configuración de LDAP con 6
- Configurar la contraseña de administrador durante la instalación
- AEM Usuarios de servicio en
- Compatibilidad con cifrado para propiedades de configuración
- AEM Gestión de solicitudes de RGPD para la Fundación de la
- Vista principal para la administración de permisos
- Filtro de disposición de contenido
- AEM Asignación de grupos de usuarios personalizados en 6.5
- Compatibilidad con cookies de SameSite
- Personalización
- Integración
- Integración con servicios de terceros
- Integración con Salesforce
- Integración con Adobe Target
- Integración con Adobe Learning Manager
- Integración con Adobe Analytics
- Conectarse a Adobe Analytics y crear marcos
- Configuración de Seguimiento de vínculos para Adobe Analytics
- Asignación de datos de componente con propiedades de Adobe Analytics
- Configuración del seguimiento de vídeo para Adobe Analytics
- Integración con Adobe Analytics mediante IMS
- Preguntas frecuentes sobre la entrega de contenido HTTP2
- Solución de problemas de integración de Adobe Campaign
- Licencias, avisos de copyright y exenciones de responsabilidad del conector de SharePoint
- Conector de SharePoint
- Preguntas frecuentes sobre el fin de vida útil del visualizador DHTML
- Integración con Adobe Campaign Classic
- Artículos relacionados de la comunidad
- Integración con Adobe Campaign Standard
- Aviso de fin de vida útil para el visualizador Flash
- Integración con Adobe Dynamic Tag Management
- Inclusión en Adobe Analytics y Adobe Target
- AEM Portals y portlets de la red
- Integración con Dynamic Media Classic (Scene7)
- Fórmulas de AEM Livefyre
- Resolución de problemas de integración
- Integración con el Optimizador de contenido de BrightEdge
- Productor de catálogos
- Integración con Silverpop Engage
- Integración con Adobe Campaign
- Integración con ExactTarget
- Analytics con proveedores externos
- Integración con Adobe Marketing Cloud
- Configuración manual de la integración con Adobe Target
- Requisitos previos para la integración con Adobe Target
- Integración con Adobe Target mediante IMS
- Clasificaciones de Adobe
- Integración de soluciones
- Exportación de fragmentos de experiencias a Adobe Target
- Prácticas recomendadas para plantillas de correo electrónico
- Integración con Livefyre
- Prácticas recomendadas
- Administración de contenido
AEM Usuarios de servicio en
Información general
AEM La forma principal de obtener un solucionador de sesión administrativa o de recursos en la aplicación de era usando el método de resolución de recursos de la aplicación de la aplicación de la. SlingRepository.loginAdministrative() y ResourceResolverFactory.getAdministrativeResourceResolver() métodos proporcionados por Sling.
Sin embargo, ninguno de estos métodos se diseñó en torno a la principio de menor privilegio y facilitar al desarrollador la tarea de no planificar una estructura adecuada y los niveles de control de acceso (ACL) correspondientes para su contenido desde el principio. Si una vulnerabilidad está presente en un servicio de este tipo, a menudo conduce a escalaciones de privilegios a admin usuario, incluso si el código en sí no necesita privilegios administrativos para funcionar.
Cómo eliminar gradualmente las sesiones de administración
Prioridad 0: ¿La función está activa/necesaria/abandonada?
Puede haber casos en los que no se utilice la sesión de administración o en los que la función esté completamente deshabilitada. Si este es el caso de la implementación, asegúrese de eliminar por completo la función o de ajustarla con código NOP.
Prioridad 1: Utilizar La Sesión De Solicitud
Siempre que sea posible, refactorice la función para que la sesión de solicitud autenticada dada se pueda utilizar para leer o escribir contenido. Si esto no es factible, a menudo se puede lograr aplicando las prioridades siguientes a las siguientes.
Prioridad 2: Reestructurar contenido
Muchos problemas se pueden resolver reestructurando el contenido. Tenga en cuenta estas reglas sencillas al realizar la reestructuración:
-
Cambiar control de acceso
- Asegúrese de que los usuarios o grupos que realmente necesitan acceso tengan acceso;
-
Refinamiento de la estructura de contenido
- Muévalo a otras ubicaciones, por ejemplo, donde el control de acceso coincida con las sesiones de solicitud disponibles;
- Cambiar la granularidad del contenido;
-
Refactorice su código para que sea un servicio adecuado
- Cambie la lógica empresarial del código JSP al servicio. Esto permite modelar contenido de forma diferente.
Además, asegúrese de que todas las nuevas funciones que desarrolle se ajusten a estos principios:
-
Los requisitos de seguridad deben orientar la estructura de contenido
- La gestión del control de acceso debería ser natural
- El control de acceso lo debe aplicar el repositorio, no la aplicación
-
Utilizar tipos de nodos
- Restringir el conjunto de propiedades que se pueden establecer
-
Respetar la configuración de privacidad
- En el caso de los perfiles privados, un ejemplo sería no exponer la imagen del perfil, el correo electrónico o el nombre completo que se encuentra en el perfil privado
/profilenodo.
- En el caso de los perfiles privados, un ejemplo sería no exponer la imagen del perfil, el correo electrónico o el nombre completo que se encuentra en el perfil privado
Estricto control de acceso
Tanto si aplica el control de acceso al reestructurar el contenido como si lo hace para un nuevo usuario de servicio, debe aplicar las ACL más estrictas posibles. Utilice todas las posibilidades de control de acceso:
-
Por ejemplo, en lugar de aplicar
jcr:readel/apps, solo aplíquelo a/apps/*/components/*/analytics -
Uso restricciones
-
Aplicar ACL para los tipos de nodo
-
Limitar permisos
- por ejemplo, cuando solo necesite escribir propiedades, no asigne el valor
jcr:writepermiso; usojcr:modifyPropertiesen su lugar
- por ejemplo, cuando solo necesite escribir propiedades, no asigne el valor
Usuarios de servicio y asignaciones
Si lo anterior falla, Sling 7 ofrece un servicio de asignación de usuarios de servicio, que permite configurar una asignación de paquete a usuario y dos métodos de API correspondientes: [SlingRepository.loginService()](https://sling.apache.org/apidocs/sling7/org/apache/sling/jcr/api/SlingRepository.html#loginService-java.lang.String-java.lang.String-) y [ResourceResolverFactory.getServiceResourceResolver()](https://sling.apache.org/apidocs/sling7/org/apache/sling/api/resource/ResourceResolverFactory.html#getServiceResourceResolver-java.util.Map-) que devuelven un solucionador de sesión/recurso con los privilegios de un usuario configurado solamente. Estos métodos tienen las siguientes características:
-
Permiten asignar servicios a los usuarios
-
Permiten definir a los usuarios de subservicios
-
El punto de configuración central es:
org.apache.sling.serviceusermapping.impl.ServiceUserMapperImpl -
service-id=service-name[ ":" nombre-subservicio ] -
service-idestá asignado a un solucionador de recursos o a un ID de usuario del repositorio JCR para la autenticación -
service-namees el nombre simbólico del paquete que proporciona el servicio
Otros Recommendations
Reemplazar la sesión de administración por un usuario de servicio
Un usuario de servicio es un usuario de JCR sin contraseña establecida y con un conjunto mínimo de privilegios necesarios para realizar una tarea específica. Si no se ha establecido ninguna contraseña, no será posible iniciar sesión con un usuario del servicio.
Una forma de dejar de utilizar una sesión administrativa es reemplazarla por sesiones de usuarios de servicio. También podría reemplazarse con varios usuarios de subservicios si es necesario.
Para reemplazar la sesión de administración por un usuario de servicio, debe realizar los siguientes pasos:
-
Identifique los permisos necesarios para su servicio, teniendo en cuenta el principio de permisos mínimos.
-
Compruebe si ya hay un usuario disponible con exactamente la configuración de permisos que necesita. Cree un nuevo usuario de servicio del sistema si ningún usuario existente coincide con sus necesidades. RTC es necesario para crear un nuevo usuario de servicio. A veces, tiene sentido crear varios usuarios de subservicios (por ejemplo, uno para escribir y otro para leer) para compartimentar el acceso aún más.
-
Configure y pruebe los ACE para el usuario.
-
Añadir un
service-userasignación para el servicio y parauser/sub-users -
Ponga a disposición del paquete la función de usuario de servicio sling: actualice a la versión más reciente de.
org.apache.sling.api. -
Reemplace el
admin-sessionen el código con la variableloginServiceogetServiceResourceResolverAPI.
Creación de un nuevo usuario de servicio
AEM Después de comprobar que no hay ningún usuario en la lista de usuarios del servicio de aplicable a su caso de uso y de aprobar los problemas de RTC correspondientes, puede continuar y agregar el nuevo usuario al contenido predeterminado.
El método recomendado es crear un usuario de servicio para utilizar el explorador de repositorios en https://<server>:<port>/crx/explorer/index.jsp
El objetivo es obtener un válido jcr:uuid propiedad que es obligatoria para crear el usuario a través de la instalación de un paquete de contenido.
Puede crear usuarios de servicios de:
-
Ir al explorador de repositorios en https://<server>:<port>/crx/explorer/index.jsp
-
Iniciar sesión como administrador presionando la tecla Iniciar sesión en la esquina superior izquierda de la pantalla.
-
A continuación, cree y asigne un nombre al usuario del sistema. Para crear el usuario como uno del sistema, establezca la ruta intermedia como
systemy agregue subcarpetas opcionales según sus necesidades:
-
Compruebe que el nodo de usuario del sistema tenga el siguiente aspecto:
NOTATenga en cuenta que no hay tipos de mezcla asociados a usuarios de servicios. Esto significa que no habrá políticas de control de acceso para los usuarios del sistema.
Al agregar el archivo .content.xml correspondiente al contenido del paquete, asegúrese de haber establecido el rep:authorizableId y que el tipo principal es rep:SystemUser. Debería tener un aspecto similar al siguiente:
<?xml version="1.0" encoding="UTF-8"?>
<jcr:root xmlns:jcr="https://www.jcp.org/jcr/1.0" xmlns:rep="internal"
jcr:primaryType="rep:SystemUser"
jcr:uuid="4917dd68-a0c1-3021-b5b7-435d0044b0dd"
rep:principalName="authentication-service"
rep:authorizableId="authentication-service"/>
Agregar una modificación de configuración a la configuración de ServiceUserMapper
Para añadir una asignación desde el servicio a los usuarios del sistema correspondientes, debe crear una configuración de fábrica para [ServiceUserMapper](https://sling.apache.org/apidocs/sling7/org/apache/sling/serviceusermapping/ServiceUserMapper.html) servicio. Para mantener esta configuración modular, se pueden proporcionar estas configuraciones utilizando el Mecanismo de modificación de Sling. La forma recomendada de instalar estas configuraciones con el paquete es mediante Cargando contenido inicial de Sling:
-
Cree una subcarpeta SLING-INF/content debajo de la carpeta src/main/resources del paquete
-
En esta carpeta, cree un archivo llamado org.apache.sling.serviceusermapping.impl.ServiceUserMapperImpl.modified-<some unique="" name="" for="" your="" factory="" configuration="">.xml con el contenido de la configuración de fábrica (incluidas todas las asignaciones de usuario de subservicio). Ejemplo:
-
Crear un
SLING-INF/contentcarpeta debajo desrc/main/resourcescarpeta de su paquete; -
En esta carpeta, cree un archivo
named org.apache.sling.serviceusermapping.impl.ServiceUserMapperImpl.amended-<a unique name for your factory configuration>.xmlcon el contenido de la configuración de fábrica, incluidas todas las asignaciones de usuario de subservicio.Para ilustrar, tome un archivo llamado
org.apache.sling.serviceusermapping.impl.ServiceUserMapperImpl.amended-com.adobe.granite.auth.saml.xml:<?xml version="1.0" encoding="UTF-8"?> <node> <primaryNodeType>sling:OsgiConfig</primaryNodeType> <property> <name>user.default</name> <value></value> </property> <property> <name>user.mapping</name> <values> <value>com.adobe.granite.auth.saml=authentication-service</value> </values> </property> </node> -
Hacer referencia al contenido inicial de Sling en la configuración del
maven-bundle-pluginen elpom.xmlde su paquete. Ejemplo:<Sling-Initial-Content> SLING-INF/content;path:=/libs/system/config;overwrite:=true; </Sling-Initial-Content> -
Instale el paquete y asegúrese de que se ha instalado la configuración de fábrica. Para ello:
- Vaya a la consola web en https://serverhost:serveraddress/system/console/configMgr
- Buscar por Modificación del servicio del asignador de usuarios del servicio Apache Sling
- Haga clic en el vínculo para ver si se ha implementado la configuración adecuada.
Tratar sesiones compartidas en servicios
Llamadas a loginAdministrative() a menudo aparecen junto con sesiones compartidas. Estas sesiones se adquieren al activarse el servicio y solo se cierran después de que este se detiene. Aunque esta es una práctica común, conduce a dos problemas:
- Seguridad: Estas sesiones de administración se utilizan para almacenar en caché y devolver recursos u otros objetos enlazados a la sesión compartida. Más adelante en la pila de llamadas, estos objetos podrían adaptarse a sesiones o solucionadores de recursos con privilegios elevados y, a menudo, el llamador no tiene claro que esté operando en una sesión de administrador.
- Rendimiento: En Oak, las sesiones compartidas pueden causar problemas de rendimiento y, actualmente, no se recomienda utilizarlas.
La solución más obvia para el riesgo de seguridad es simplemente reemplazar el loginAdministrative() llamada con a loginService() una a un usuario con privilegios restringidos. Sin embargo, esto no tendrá ningún impacto en ninguna degradación potencial del rendimiento. Una posibilidad de mitigar que es envolver toda la información solicitada en un objeto que no tiene asociación con la sesión. A continuación, cree (o destruya) la sesión bajo demanda.
El método recomendado es refactorizar la API del servicio para dar al que llama control sobre la creación o destrucción de la sesión.
Sesiones administrativas en JSP
Los JSP no pueden usar loginService(), porque no hay ningún servicio asociado. Sin embargo, las sesiones administrativas en los JSP suelen ser un signo de una violación del paradigma de MVC.
Esto se puede solucionar de dos maneras:
- Reestructurar el contenido de manera que permita manipularlo con la sesión del usuario;
- Extraer la lógica a un servicio que proporciona una API que luego JSP puede utilizar.
El primer método es el preferido.
Procesamiento de eventos, preprocesadores de replicación y trabajos
Al procesar eventos o trabajos, y en algunos casos flujos de trabajo, la sesión correspondiente que activó el evento generalmente se pierde. Esto lleva a que los controladores de eventos y los procesadores de trabajos a menudo utilicen sesiones administrativas para realizar su trabajo. Existen diferentes enfoques concebibles para resolver este problema, cada uno con sus ventajas y desventajas:
-
Pase el
user-iden la carga útil de evento y utilice la suplantación.Ventajas: Fácil de usar.
Desventajas: Sigue usando
loginAdministrative(). Vuelve a autenticar una solicitud que ya se ha autenticado. -
Crear o reutilizar un usuario de servicio que tenga acceso a los datos.
Ventajas: Compatible con el diseño actual. Necesita un cambio mínimo.
Desventajas: Necesita usuarios de servicios muy poderosos para ser flexible, lo que puede llevar fácilmente a escalados de privilegios. Elude el modelo de seguridad.
-
Pasar una serialización de
Subjecten la carga útil de evento y cree unResourceResolverbasado en ese tema. Un ejemplo sería el uso del JAASdoAsPrivilegeden elResourceResolverFactory.Ventajas: Una implementación limpia desde el punto de vista de la seguridad. Evita la reautenticación y funciona con los privilegios originales. El código relevante para la seguridad es transparente para el consumidor del evento.
Desventajas: Necesita refactorización. El hecho de que el código relevante para la seguridad sea transparente para el consumidor del evento también puede provocar problemas.
El tercer enfoque es actualmente la técnica de procesamiento preferida.
Procesos de flujo de trabajo
Dentro de las implementaciones de procesos de flujo de trabajo, la sesión de usuario correspondiente que activó el flujo de trabajo generalmente se pierde. Esto lleva a procesos de flujo de trabajo que a menudo utilizan sesiones administrativas para realizar su trabajo.
Para solucionar estos problemas, se recomienda que los mismos enfoques mencionados en Procesamiento de eventos, preprocesadores de replicación y trabajos se utilizará.
Procesadores de POST Sling y páginas eliminadas
Hay un par de sesiones administrativas que se utilizan en las implementaciones de POST de Sling. Normalmente, las sesiones administrativas se utilizan para acceder a nodos cuya eliminación está pendiente dentro del POST que se está procesando. En consecuencia, ya no están disponibles a través de la sesión de solicitud. Se puede acceder a un nodo pendiente de eliminación para revelar la metáfora que, de lo contrario, no debería ser accesible.
Recursos de Business.Adobe.com
Recursos
Cuenta de Adobe
